Jump to content

soulseeker

Members
  • Gesamte Inhalte

    151
  • Registriert seit

  • Letzter Besuch

Reputation in der Community

12 Neutral

Über soulseeker

  • Rang
    Newbie
  1. Doppelte PTR-Einträge

    Hi@all, mir ist aufgefallen, dass die PTR-Einträge von diversen (aber nicht allen) Clients, die in mehreren Netzen sind (LAN/WLAN), oft doppelt auftauchen, also nicht dynamisch aktualisiert werden. Der Host (A)-Eintrag ist nicht doppelt und aktualisiert sich auch immer ... Das Intervall für Nichtaktualisierung ist derzeit 1, das Aktualisierungsintervall 7 Tage ... der Scavenging-Prozess läuft alle 3 Tage über das DNS. Die Leasedauer ist 8 Tage. Die DNS-Server sind AD integriert und laufen unter Win2016. Dynamische DNS-Aktualisierungen per DHCP ist (momentan noch) für alle Scopes aktiviert. Betroffen sind die Clients, die zwischen dem WLAN und LAN-Scope hin- und herwechseln. Leider auch jede Menge Androids/Iphones ... deshalb überlege ich, ob die dynamische DNS-Registrierung per DHCP überhaupt so ene gute Idee ist ... ich würde am liebsten nur Windows-Rechner im DNS sehen und nicht unbedingt "Iphonevonxyz" - das ist leider netztechnisch nicht sauber hier getrennt. Was für eine Einstellung könnte ich aber wegen der doppelten PTRs noch übersehen haben? Viele Grüße Marcel
  2. Benutzer-GPOs werden "von oben" nicht gezogen

    Ok, das ist jetzt peinlich. Das war wohl doch nur ein User, der in einer aufgebrochenen OU war. Sorry und trotzdem danke ....
  3. Benutzer-GPOs werden "von oben" nicht gezogen

    In der Sicherheitsfilterung steht nur der Standard "authentifizierte Benutzer". Aber die Computer brauchen doch keine speziellen Berechtigungen ... die GPO hängt (hing) halt nur ganz oben und wurde dann auf die tieferen OUs vererbt, wo irgendwo die Benutzer liegen, die ja hier die Berechtigung haben.
  4. Benutzer-GPOs werden "von oben" nicht gezogen

    Dürfte doch hier keine Rolle spielen (ist auch nicht aktiv), da diese GPO doch auf "alle" OUs vererbt wird, also auch auf "irgendwelche" OUs mit Benutzern. Dort sollte doch dann der Benutzer-Teil dieser GPO ausgeführt werden. Und warum funktioniert das ganze dann zwei OUs tiefer ... Und warum bei Clients? Zu viele warums ... ;)
  5. Benutzer-GPOs werden "von oben" nicht gezogen

    Nein, ist in diesem Fall nicht unterbrochen... aber selbst wenn, die Gpo soll ja beim User ziehen und nicht auf dem Computerobjekt. Zum User wurde sie vererbt.
  6. Hi@all, ich habe gerade ein merkwürdiges Problem entdeckt ... und zwar habe ich eine neue GPO mit Benutzereinstellungen erstellt und direkt im root verlinkt, Die Richtlinie wird dann vererbt. User, die sich an Servern anmelden, haben die Einstellungen jedoch nicht erhalten und gpresult /h zeigt auch grund: abgelehnt - leer. Ich habe mir nochmal die OU angeschaut, in der diese User liegen - dort wird die Richtlinie auf jeden Fall vererbt. User, die sich an Clients anmelden, ziehen diese GPO jedoch. Ein WMI-Filter ist auf dieser GPO nicht aktiv. Nachdem ich die GPO tiefer verlinkt habe, wo dann die Users-OUs beginnen (und die Richtlinie ohnehin besser aufgehoben ist), funktioniert es jedoch sofort sowohl bei Clients als auch Servern. Eine andere GPO, die ebenfalls von ganz oben kommt und ebenso nur Usereinstellungen enthält, wurde bislang immer angewandt, dort habe ich allerdings die Server per WMI absichtlich ausgenommen. Woran kann das liegen? Viele Grüße Marcel
  7. WSUS-Verständnisfrage - Funktionsupdate zurückziehen

    Hab leider gerade kein Testsystem mit dem Fehler. Ich schaue mir das nach meinem Urlaub noch mal genauer an, ich wollte jetzt erst mal nur sicher sein, dass das Update zunächst wieder zurückgestellt wird. Danach lasse ich es nochmal über meine Testgruppe laufen.
  8. WSUS-Verständnisfrage - Funktionsupdate zurückziehen

    Aha ok. Das findet hier einmal am Tag statt. Wenn die Installation beim Client also Fehlschlag sollte und mittags wieder der Wsus kontaktiert wird, verschwindet das Update also bei zurückgezogener Genehmigung aus der Pipeline? Nebenbei - verteilt ihr die Funktionsupdates eigentlich per Wsus? Vg und danke Marcel
  9. Hi@all, ich habe mal eine Verständnisfrage zum WSUS. Ich habe (versehentlich) ein Funktionsupdate freigegeben (1803), das auf vielen Clients Probleme bei der Installation verursacht. Bis ich dazu komme, das Problem zu lösen, habe ich die Genehmigung erst einmal zurückgezogen. Eine Entfernung per WSUS geht ja bei diesen Upgrades ja ohnehin nicht. Wenn der Client das Update aber bereits downgeloaded hat, ist es aber bereits zu spät, oder? Beim nächsten Neustart wird das Update dann automatisch installiert ... die einzige Möglichkeit, die man dann hat, wäre den Win Update-Dienst zu beenden und den Ordner "Softwaredistribution" zu löschen. Also meine eigentliche Frage - wenn ich die Genehmigung zurückziehe und das Update (bzw in diesem Fall ein Upgrade) bereits vom Client gezogen wurde, ändert das nichts mehr, oder? VG Marcel
  10. DNS ohne Androids / Iphones

    Da hast du grundsätzlich recht ... aber es gibt hier auch jede Menge IP-Telefone, Accesspoints etc bei denen ich nicht genau weiß, ob diese nicht evtl. doch gerne über DNS kommunizieren möchten. Außerdem evtl. noch den ein oder anderen A-record, der mal manuell erstellt wurde (für was auch immer). Ich bin da lieber etwas vorsichtig :).
  11. DNS ohne Androids / Iphones

    Naja, evtl. kurzzeitige Serviceunterbrechungen, wenn irgendwas kurz mal nicht per DNS erreichbar ist. Außerdem kann ich nicht immer unterscheiden, ob es sich um einen "echten" statischen DNS-Eintrag handelt, oder es ein "statischer Bind-Eintrag" ist, der aber eigentlich ein dynamischer sein sollte und der wieder von selber auftaucht.
  12. DNS ohne Androids / Iphones

    Hi, danke, interessanter Artikel ... Im wesentlichen ist es ja schon so konfiguriert, außer das im DHCP die DNS-Option derzeit auf "immer aktualisieren" steht. Ich vermute mal, dass Iphones und Androids beim DHCP-Server ohnehin eine Aktualisierung anfordern werden, so dass ich damit nicht viel gewinnen werde. Mein "Haupt-Problem" sind ohnehin die abertausende an alten statischen Einträgen, die ich nur manuell löschen kann.
  13. DNS ohne Androids / Iphones

    Hi, ja, DHCP ist derzeit so konfiguriert ... und wir nutzen User Cals. Ich muss jetzt nicht zwingend Androids und Iphones im DNS auflösen, daher meine Frage, wie ihr das mit der DHCP-DNS-Aktualisierung so haltet. Ich denke mal, wenn ich für den gesamten WLAN-Scope die dynamische Aktualisierung abschalte, bin ich schon mal einen Schritt weiter ... die Windows-Devices dürften sich dann ja trotzdem noch über die Nic-Einstellung im DNS registrieren.
  14. DNS ohne Androids / Iphones

    Hallo zusammen, ich muss leider nochmal mit einer Frage nerven :) Ich habe vor kurzem unseren DNS-Server von bind zu Windows migriert, da gab es das unschöne Problem, dass sich alles und jeder im DNS registriert hat und die Einträge direkt "statisch" waren. Das sind sie unschönerweise auch nach der Migration, weshalb ich derzeit damit beschäftigt bin, die alten statischen Einträge aufzuräumen. Dabei habe ich festgestellt, dass Androids und Iphones sich immer noch selbst registrieren können (dann aber dynamisch) und das gefällt mir nicht wirklich. Zwischen unser Client-Nomenklator steht dann android_1234 und lieschenmüllers_iphone. Wir haben derzeit noch kein separaten Scope für Mobile devices. Im DNS ist "nur sichere" aktiv. Im DHCP ist dynamische Registrierung jedoch erlaubt. Ich hatte eigentlich erwartet, dass sich trotzdem nur Domänenmitglieder dynamisch registrieren können, aber da im DHCP Option15 mit Domänensuffix gesetzt wird, reicht das wohl aus, um einen Client als "sicher" einzustufen. Mich würde mal interessieren, wie ihr sowas verhindert. Mir fallen jetzt nur folgende Möglichkeiten ein: 1. Separates VLAN für mobile devices mit eigenem DHCP-Scope ohne Option15/dynamische Registrierung 2. Dynamische DNS-Aktualisierung für den WLAN-Scope ausschalten und auf die Option "Adressen dieser Verbindung in DNS registrieren" im Windows-Netzwerkadapter vertrauen Viele Grüße Marcel
  15. Allerdings sind ein paar Sachen immer noch etwas strange. Ich habe jetzt „nur sichere Updates“ angetickt und das DNS mal etwas aufgeräumt, da z.B. auch hunderte Androids dort eingetragen waren. Allerdings registrieren die sich nun immer noch, bzw. wieder. Dann habe ich Subdomains mit mx-Einträgen (für SAP) angelegt, die nicht automatisch auf den anderen DNS-Servern erscheinen … erst, wenn ich diese auch auf dem anderen DNS anlege, erscheinen die jeweiligen DNS-Einträge. Ist das evtl. normal? [edit} Die Androids reggen sich wohl wegen der DHCP-Option "DNS-A-und PTR-Einträge für DHCP-Clients, die keine Aktualisierung erfordern ... Das mit den Subdomains hake ich mal als "seltsam, aber so steht es geschrieben" ab ...
×